AppBank の主任です。
iPhone 5s では「Touch ID」という指紋認証機能が搭載されました。指紋を登録しておけば、iPhone のロック解除・App Store/iTunes Store での認証に使えます。
この機能で iPhone のセキュリティが向上するのでは、との期待も持たれています。
その一方で「登録した指紋データを盗み取られないのか?」「指紋認証に抜け穴はないのか?」といった懸念もあります。
最も心配なのは iPhone のロック解除が、指紋認証でもパスコード入力でも行えてしまうのではないか?という点です。
指紋認証を利用している場合でもパスコードでロックを解除できるのであれば、従来の iPhone とセキュリティの堅牢さは変わりません。
というわけで iPhone 5s の「Touch ID」について色々と調べてみました。
正確な指紋画像はiPhoneに保存されない
WSJ が Apple 広報担当者の話として報じたニュースによると、Touch ID は正確な指紋の画像を保存しません。
セキュリティの観点からすると、これは喜ばしいことです。
正確な指紋の画像が iPhone に保存される場合、この画像を盗み取って必要な指紋を偽造できる可能性が生じるからです。
問題は iPhone だけに留まりません。画像が盗まれれば、指紋認証を行う他のシステムも突破される可能性が生じてしまいます。
指紋はパスワードのように変えられません。正確な情報が盗まれるとそれ以降は他人に突破される恐れがあるので、指紋認証は利用できなくなります。
正確な指紋の画像が保存されないのであれば、こうした問題は回避できると見られます。
どのように指紋を登録しているのか?
(Apple – iPhone 5s – Videos より)
Apple が公開している動画によると、指紋をアーチ型・ループ型・渦巻き型の3タイプに分類し、さらに指紋のりょう線の特徴を「指紋データ」として登録しているようです。
そのため、保存される情報は「正確な指紋の画像」にはならないのだと考えられます。
指紋データはiPhoneに保存、どこにも送信されない
(Apple – iPhone 5s – Videos より)
指紋データは暗号化され、iPhone の計算・描画などの処理を行うプロセッサ「A7」の中に保管されます。
Apple によると、指紋データは Apple のサーバにも保管されず、iCloud でバックアップを行っている場合でもこのデータは対象外になります。
「アクセスできるのは Touch ID だけ」としているので、他からのアクセスを許さない設計になっているようです。
しかし、物理的に iPhone にアクセスされた場合、あるいはネットワーク経由で iPhone に不正侵入された場合にも安全が保証されるかは分かりません。
再起動するか、48時間ロックを解除しないとパスコードが必要に
WSJ の取材に対し、Apple の広報担当者がこの仕様を明らかにしています。パスコードは指紋登録時にバックアップとして設定します。
Apple の広報担当者は WSJ に対して、この仕様は「ハッカーが iPhone の指紋認証をう回する方法を模索する時間を与えないためのもの」と説明しています。
この条件に当てはまると指紋によるロック解除は不可能になるようなので、暗号化された指紋データも削除されるのかもしれません。
この仕様は指紋データの流出対策としては効果的です。一方で、iPhone のセキュリティを確保する最終手段は iPhone 5s でもパスコードになることを意味します。
パスコードと併用可能?
CNET Japan のレビュー記事によると、iPhone 5s のロックは指紋認証を設定済みの場合でもパスコードで解除できるようです。
これが事実であるとすれば、Touch ID は「iPhone のセキュリティを向上させる機能」ではなく「パスコード入力の手間を省く機能」と言えるでしょう。
指紋・パスコード認証が併用できる場合、他人が iPhone のロックを解除するには従来通り、盗んだ・推測したパスコードを入力するだけで済むからです。
指紋認証が正しく機能しない場合、パスコードでロックを解除できなければ iPhone が使えなくなってしまうので、致し方がないのかもしれません。
盗み見されても問題ない?
(Apple – iPhone 5s – Videos より)
Touch ID は指紋で認証を行うので、誰かに見られても問題ありません。
これがパスコード・Apple ID のパスワードを入力する場面だと、その内容を記憶・記録されて後から不正アクセス・不正使用に繋がる恐れがあります。
ただ、どの指を指紋認証に使ったかをチェックされて、指紋を採取されたり、指を切断される恐れはあります。過去には認証突破のために指を切断された事件も起きています。
Touch IDは他アプリから利用できない
Engadget Japanese によると、Touch ID はロック解除・App Store/iTunes Store での Apple ID の認証にのみ使われます。
この機能を利用するための情報・ツールはアプリ開発者に提供されないので、他のアプリから Touch ID を利用することはできません。
これは Touch ID のセキュリティを維持する上で重要な対策です。アプリによる指紋データの悪用・盗難も防げます。
まとめ:Touch IDはiPhoneのセキュリティを底上げする?
これまでにご紹介した特徴・仕様を見る限り、Touch ID はパスコード以上のセキュリティを提供する機能とは考えにくいです。
指紋認証ではなくパスコード認証で iPhone のロックを解除できると思われるほか、再起動あるいは48時間放置でパスコード認証に切り替えられるからです。
「指紋認証だから」といって、これまで以上の期待は禁物です。
理想的なのは認証に必要な情報を増やす「2段階認証(2要素認証)」です。例えば、指紋認証の後にパスコード認証を行うものですが、iPhone 5s で利用可能かは不明です。
Apple としては、入力が手間でパスコードを設定していないユーザーに対して、Touch ID の利用を勧めたいのかもしれません。
Apple によると iPhone ユーザーの 50% はパスコードを設定していません。これが不正使用・窃取後の不正売却を容易にしています。
その意味で、Touch ID は iPhone のセキュリティを底上げする機能と言えるのかもしれません。
iPhone 5s/5cに関する情報まとめ
【完全版】今日のiPhone 5c/5s情報まとめ!こんなにあります!
参考(順不同)
- 「iPhone 5s」の指紋認証を使ってみた–登録から試用まで – (page 10) – CNET Japan
- iPhone 5sファーストインプレッション。A7チップ、指紋センサ、iOS 7で新世代感ある「5s」 – Engadget Japanese
- iPhone 5s の指紋認証システム「TouchID」は成功するのか? – インターネットコム
- 萩原栄幸が斬る! IT時事刻々:生体認証アラカルト、パスワードの限界 (1/2) – ITmedia エンタープライズ
- Apple: New iPhone Not Storing Fingerprints, Doesn’t Like Sweat – Digits – WSJ
- iPhone 5s with Touch ID is a big win for BYOD security | ZDNet
